ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы

В.2 Математические модели для прогнозирования риска нарушения надежности реализации процесса определения архитектуры системы

В.2.1 Общие положения

В.2.1.1 В моделях для анализа надежности реализации процесса под моделируемой системой понимается отдельное действие или множество действий процесса, получаемый выходной результат или множество выходных результатов (или иные сущности, подлежащие учету в моделируемой системе).

Примечание - Выполнение требований по защите информации в В.2 не рассматривается (учет этих требований см. в В.3 и В.4).

В.2.1.2 Для каждого элемента моделируемой системы возможны либо отсутствие какого-либо контроля, либо периодический системный контроль (диагностика) его целостности с необходимым восстановлением по результатам контроля.

В.2.1.3 В терминах системы, состоящей из элементов, отождествляемых с выполняемыми действиями или получаемыми выходными результатами (или иными рассматриваемыми сущностями), под целостностью моделируемой системы понимается такое состояние элементов модели системы, которое в течение задаваемого периода прогноза отвечает требованию обеспечения надежности реализации рассматриваемого процесса. С точки зрения вероятностного прогнозирования риска нарушения надежности реализации процесса определения архитектуры системы пространство элементарных состояний отдельного элемента моделируемой системы на временной оси образуют следующие состояния:

- "Целостность элемента моделируемой системы сохранена", если в течение всего периода прогноза обеспечена надежность реализации анализируемого действия или получение определенного выходного результата процесса;

- "Целостность элемента моделируемой системы нарушена" - в противном случае.

Примечание - Например, надежность реализации процесса определения архитектуры системы в течение задаваемого периода прогноза обеспечена, если в течение этого периода для всех недублируемых элементов моделируемой системы (т.е. для всех сущностей, логически объединяемых условием "И") обеспечена их целостность, т.е. на временной оси наблюдается элементарное состояние "Целостность элемента моделируемой системы сохранена" - см. также В.2.4.

В результате моделирования получают расчетные значения вероятностных показателей нахождения элементов моделируемой системы в определенном элементарном состоянии. В сопоставлении с возможным ущербом вероятность нахождения в состоянии "Целостность элемента моделируемой системы нарушена" характеризует риск нарушения надежности выполнения соответствующего действия или получения соответствующего выходного результата реализуемого процесса.

В.2.2 Математическая модель "черного ящика" при отсутствии какого-либо контроля

Моделируемая система представлена в виде "черного ящика", функционирование которого не контролируется. Восстановление возможностей по обеспечению выполнения действий процесса осуществляется по мере нарушения. В результате возникновения угроз и их развития может произойти нарушение надежности реализации процесса. С формальной точки зрения модель позволяет оценить вероятностное значение риска нарушения надежности реализации процесса определения архитектуры системы в течение заданного периода прогноза. С точки зрения системной инженерии этот результат интерпретируют следующим образом: результатом применения модели является расчетная вероятность нарушения надежности реализации процесса определения архитектуры системы в течение заданного периода прогноза при отсутствии какого-либо контроля.

Модель представляет собой частный случай модели В.2.3, если период между контролями состояния системы больше периода прогноза. Учитывая это, используют формулы (В.1) - (В.5).

В.2.3 Математическая модель "черного ящика" при реализации технологии периодического системного контроля

В моделируемой системе, представленной в виде "черного ящика", осуществляется периодический контроль состояния системы с точки зрения надежности реализации процесса определения архитектуры.

Примечание - Моделируемая система в виде "черного ящика" представляет собой единственный элемент.

Из-за случайного характера угроз, различных организационных, программно-технических и технологических причин, различного уровня квалификации специалистов, привлекаемых для контроля, неэффективных мер поддержания или восстановления приемлемых условий и в силу иных причин надежность реализации процесса определения архитектуры может быть нарушена. Такое нарушение способно повлечь за собой негативные последствия.

В рамках модели развитие событий в системе считается не нарушающим надежность реализации процесса определения архитектуры в течение заданного периода прогноза, если к началу этого периода требуемые условия для реализации процесса обеспечены и в течение всего периода либо источники угроз не активизируются, либо после активизации происходят их своевременное выявление и принятие адекватных мер противодействия угрозам. В целях моделирования предполагают, что существуют не только средства контроля (диагностики) состояния реализуемого процесса определения архитектуры, но и способы поддержания и/или восстановления возможностей по выполнению процесса при выявлении источников или следов активизации угроз. Восстановление осуществляется лишь в период системного контроля. Соответственно, чем чаще осуществляют системный контроль с должной реакцией на выявляемые нарушения или предпосылки к нарушениям, тем выше гарантии обеспечения надежности реализации процесса определения архитектуры системы из-за возможных угроз в течение периода прогноза (т.к. в принятой модели за счет предупреждающих действий по результатам диагностики устраняются появившиеся и/или активизируемые угрозы, тем самым отдаляется во времени момент нанесения ущерба от реализации какой-либо угрозы).

В модели рассмотрен следующий формальный алгоритм возникновения и развития потенциальной угрозы: сначала возникает источник угрозы, после чего он начинает активизироваться. По прошествии времени активизации, свойственного этому источнику угрозы (в общем случае это время активизации представляет собой случайную величину), наступает виртуальный момент нарушения целостности моделируемой системы, интерпретируемый как момент реализации угрозы, приводящий к нарушению надежности реализации самого рассматриваемого процесса с возможными негативными последствиями. Если после виртуального начала активизации угрозы на временной оси наступает очередная диагностика целостности моделируемой системы, то дальнейшая активизация угрозы полагается предотвращенной до нанесения недопустимого ущерба, а источник угроз - нейтрализованным (до возможного нового появления какой-либо угрозы после прошедшей диагностики).

Примечание - Если активизация угрозы мгновенная, это считают эквивалентным внезапному отказу. Усилия системной инженерии как раз и направлены на использование времени постепенной активизации угроз для своевременного выявления, распознавания (в т.ч. на уровне предпосылок) и противодействия им.

Надежность реализации процесса определения архитектуры системы считается нарушенной лишь после того, как активизация источника угрозы происходит за период прогноза (т.е. возникает элементарное состояние "Целостность элемента моделируемой системы нарушена", означающее реализацию угрозы). При отсутствии нарушений результатом применения очередной системной диагностики является подтверждение возможностей по реализации процесса, а при наличии нарушений - полное восстановление нарушенных возможностей реализации процесса до приемлемого уровня. С точки зрения системной инженерии результатом применения модели является расчетная вероятность нарушения надежности реализации процесса определения архитектуры системы в течение заданного периода прогноза при реализации технологии периодического системного контроля (диагностики) целостности системы.

Для моделируемой системы, представленной в виде "черного ящика", применительно к выполняемым действиям, выходным результатам рассматриваемого процесса и защищаемым активам формально определяют следующие исходные данные:

- частота возникновения источников угроз в моделируемой системе с точки зрения нарушения надежности реализации процесса определения архитектуры;

- среднее время развития угроз (активизации источников угроз) с момента их возникновения до нарушения целостности моделируемой системы (выполняемых действий процесса, выходных результатов и/или защищаемых активов) с точки зрения нарушения надежности реализации процесса;

T_меж - среднее время между окончанием предыдущей и началом очередной диагностики целостности моделируемой системы;

T_диаг - среднее время системной диагностики целостности моделируемой системы;

T_восст - среднее время восстановления нарушенной целостности моделируемой системы (учитывают путем использования способа 4 из В.2.4);

T_зад - задаваемая длительность периода прогноза.

Примечание - Переопределения этих исходных данных (согласно способу 1 из В.2.4), конкретизированные в приложении к выходным результатам и действиям процесса, приведены в Г.4.

Оценку вероятности R_надежн(T_зад) нарушения надежности реализации процесса в течение периода прогноза T_зад вычисляют по формуле

ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы (В.1)

где - вероятность отсутствия нарушений надежности реализации процесса в системе в течение периода T_зад.

Примечание - В модели изложен случай, когда T_диаг = T_восст. Для учета более общего случая, когда средние времена системной диагностики и восстановления целостности не совпадают, используют способ 4 из В.2.4.

Возможны два варианта:

- вариант 1 - заданный оцениваемый период прогноза T_зад меньше периода между окончаниями соседних контролей (T_зад < T_меж + T_диаг);

- вариант 2 - заданный оцениваемый период прогноза T_зад больше или равен периоду между окончаниями соседних контролей (T_зад >= T_меж + T_диаг), т.е. за это время заведомо произойдет один или более контролей системы с восстановлением нарушенного выполнения процесса (если нарушения имели место к началу контроля).

Для варианта 1 при условии независимости исходных характеристик вероятность отсутствия нарушений надежности реализации процесса определения архитектуры системы в течение периода прогноза T_зад вычисляют по формуле

ГОСТ Р 59347-2021. Национальный стандарт Российской Федерации. Системная инженерия. Защита информации в процессе определения архитектуры системы (В.2)

Примечание - Формулу (В.2) используют также для оценки риска отсутствия нарушений надежности реализации процесса определения архитектуры системы при отсутствии какого-либо контроля в предположении, что к началу периода прогноза целостность моделируемой системы обеспечена, т.е. для расчетов по математической модели "черного ящика" при отсутствии какого-либо контроля (см. В.2.2).

Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия нарушений надежности реализации процесса определения архитектуры системы в течение прогноза T_зад вычисляют по формуле

P_возд(2) = P_серед·P_кон, (В.3)

где P_серед - вероятность отсутствия нарушений надежности реализации процесса определения архитектуры системы в течение всех периодов между системными контролями, целиком вошедшими в границы времени T_зад, вычисляемая по формуле

, (В.4)

где N - число периодов между диагностиками, которые целиком вошли в границы времени T_зад, с округлением до целого числа, N = [T_зад/T_меж + T_диаг)] - целая часть;

P_кон - вероятность отсутствия нарушений надежности реализации процесса определения архитектуры системы после последнего системного контроля, вычисляемая по формуле (В.2), т.е.

где T_ост - остаток времени в общем заданном периоде T_зад по завершении N полных периодов, вычисляемый по формуле

T_ост = T_зад - N(T_меж + T_диаг). (В.5)

Формула (В.3) логически интерпретируется так: для обеспечения выполнения требований по защите информации за весь период прогноза требуется обеспечение выполнения требований по реализации процесса на каждом из участков - будь то середина или конец задаваемого периода прогноза T_зад.

Примечание - Для расчетов P_возд(2) возможны иные вероятностные меры, например, когда N - действительное число, учитывающее не только целую, но и дробную части.

В итоге вероятность отсутствия нарушений надежности реализации процесса определения архитектуры системы в течение периода прогноза T_зад определяется аналитическими выражениями (В.2) - (В.5) в зависимости от варианта соотношений между исходными данными. Это позволяет вычислить по формуле (В.1) вероятность нарушения надежности реализации процесса определения архитектуры системы в течение заданного периода прогноза T_зад с учетом предпринимаемых технологических мер периодического системного контроля и восстановления возможностей по обеспечению выполнения процесса. С учетом возможного ущерба эта вероятность характеризует расчетный риск нарушения надежности реализации процесса определения архитектуры системы в течение заданного периода прогноза при реализации технологии периодического системного контроля.

Примечание - В частном случае, когда период между диагностиками больше периода прогноза T_зад < T_меж, модель В.2.3 превращается в модель В.2.2 для прогноза риска нарушения надежности реализации процесса определения архитектуры системы при отсутствии какого-либо контроля.

В.2.4 Расчет риска для систем сложной структуры, комбинация и повышение адекватности моделей

Описанные в В.2.2 и В.2.3 модели применимы для проведения оценок, когда система представляется в виде "черного ящика" и когда значения времен системной диагностики и восстановления нарушенной целостности совпадают. В развитие моделей В.2.2 и В.2.3 в настоящем подразделе приведены способы, позволяющие создание моделей для систем сложной структуры и более общего случая, когда значения времен системной диагностики и восстановления нарушенных возможностей системы различны.

Расчет основан на применении следующих инженерных способов.

1-й способ позволяет использовать одни и те же модели для расчетов различных показателей по области их приложения. Поскольку модели математические, то путем смыслового переопределения исходных данных возможно использование одних и тех же моделей для оценки показателей, различающихся по смыслу, но идентичных по методу их расчета.

2-й способ позволяет переходить от оценок систем или отдельных элементов, представляемых в виде "черного ящика", к оценкам систем сложной параллельно-последовательной логической структуры. В формируемой структуре, исходя из реализуемых технологий для системы, состоящей из двух элементов, взаимовлияющих на выполнение процесса, указывается характер их логического соединения. Если два элемента соединяются последовательно, что означает логическое соединение "И" (см. рисунок В.1), то в контексте надежности реализации процесса это интерпретируется так: "в системе обеспечена надежность реализации процесса в течение времени t, если 1-й элемент "И" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени". Если два элемента соединяются параллельно, что означает логическое соединение "ИЛИ" (см. рисунок В.2), это интерпретируется так: "система сохраняет возможности по надежной реализации процесса в течение времени t, если 1-й элемент "ИЛИ" 2-й элемент сохраняют свои возможности по надежной реализации процесса в течение этого времени".

Рисунок В.1 - Система из последовательно

соединенных элементов ("И")

Рисунок В.2 - Система из параллельно

соединенных элементов ("ИЛИ")

Для комплексной оценки в приложении к сложным системам используются рассчитанные на моделях вероятности нарушения надежности реализации процесса каждого из составных элементов за заданное время t. Тогда для простейшей структуры из двух независимых элементов вероятность нарушения надежности реализации процесса за время t определяют по формулам:

- для системы из двух последовательно соединенных элементов

P(t) = 1 - [1 - P₁(t)]·[1 - P₂(t)]; (В.6)

- для системы из двух параллельно соединенных элементов

P(t) = P₁(t)·P₂(t), (В.7)

где P_m(t) - вероятность нарушения надежности реализации процесса для m-го элемента за заданное время t, m = 1, 2.

Рекурсивное применение соотношений (В.6), (В.7) снизу-вверх дает соответствующие вероятностные оценки для сложной логической структуры с параллельно-последовательным логическим соединением элементов.

Примечание - Способ рекурсивного применения процессов рекомендован ГОСТ Р 57102. Рекурсивное применение снизу-вверх означает первичное применение моделей В.2.2 или В.2.3 сначала для отдельных системных элементов, представляемых в виде "черного ящика" в принятой сложной логической структуре системы, затем, учитывая характер логического объединения ("И" или "ИЛИ") в принятой структуре, по формулам (В.6) или (В.7) проводится расчет вероятности нарушения надежности реализации процесса за время t для объединяемых подсистем. И так - до объединения на уровне системы в целом. При этом сохраняется возможность аналитического прослеживания зависимости результатов расчетов по формулам (В.6) или (В.7) от исходных параметров моделей В.2.2 и В.2.3.

3-й способ в развитие 2-го способа позволяет использовать результаты моделирования для формирования заранее неизвестных (или сложно измеряемых) исходных данных в интересах последующего моделирования. На выходе моделирования по моделям В.2.2 и В.2.3 и применения 2-го способа получается вероятность нарушения надежности реализации процесса в течение заданного периода времени t. Если для каждого элемента просчитать эту вероятность для всех точек t от нуля до бесконечности, получится траектория функции распределения времени нарушения надежности реализации процесса по каждому из элементов в зависимости от реализуемых мер контроля и восстановления целостности, т.е. то, что используется в формулах (В.6) и (В.7). Полученный вид этой функции распределения, построенной по точкам (например, с использованием программных комплексов), позволяет традиционными методами математической статистики определить такой показатель, как среднее время до нарушения надежности реализации процесса каждого из элементов и системы в целом. С точки зрения системной инженерии это среднее время интерпретируют как виртуальную среднюю наработку на нарушение надежности реализации процесса определения архитектуры системы при прогнозировании риска по моделям В.2.2 и В.2.3 для системы простой и сложной структуры. Обратная величина этого среднего времени является частотой нарушений надежности реализации процесса в условиях определенных угроз и применяемых методов контроля и восстановления возможностей по обеспечению выполнения процесса для составных элементов. Именно это - необходимые исходные данные для последующего применения моделей В.2.2 и В.2.3 или аналогичных им для расчетов по моделям "черного ящика". Этот способ используют, когда изначальная статистика для определения частоты отсутствует или ее недостаточно.

4-й способ в дополнение к возможностям 2-го и 3-го способов повышает адекватность моделирования за счет развития моделей В.2.2 и В.2.3 в части учета времени на восстановление после нарушения надежности реализации процесса. В моделях В.2.2 и В.2.3 время системного контроля по составному элементу одинаково и равно в среднем T_диаг. Вместе с тем, если по результатам контроля требуются дополнительные меры для восстановления нарушенных возможностей по выполнению процесса в течение времени T_восст, то для расчетов усредненное время контроля T_диаг должно быть изменено. При этом усредненное время контроля вычисляют итеративно с заданной точностью:

- 1-я итерация определяет , задаваемое на входе модели. Для 1-й итерации при обнаружении нарушений полагается мгновенное восстановление нарушаемых возможностей по обеспечению выполнения процесса;

- 2-я итерация осуществляется после расчета риска R⁽¹⁾ по исходным данным после 1-й итерации

, (В.8)

где R⁽¹⁾ - риск нарушения надежности реализации процесса с исходным значением , вычисляемый с использованием модели В.2.3. Здесь, поскольку на 1-й итерации не учитывает времени восстановления, риск R⁽¹⁾, рассчитываемый с использованием модели В.2.3, ожидается оптимистичным, т.е. меньше реального;

-... r-я итерация осуществляется после расчета риска R⁽^r^-1) по исходным данным после (r - 1)-й итерации

, (В.9)

где R⁽^r^-1) вычисляют по моделям В.2.2, В.2.3, но в качестве исходного уже выступает рассчитанное на предыдущем шаге итерации. Здесь в большей степени учитывается время восстановления с частотой, стремящейся к реальной. Соответственно риск R⁽^r^-1) также приближается к реальному.

С увеличением r указанная последовательность сходится, и для дальнейших расчетов используют значение, отличающееся от точного предела на величину, пренебрежимо малую по сравнению с задаваемой изначально точностью итерации :

Таким образом, 4-й способ позволяет вместо одного исходного данного (среднего времени системной диагностики, включая восстановление нарушенной целостности моделируемой системы) учитывать два, которые могут быть различны по своему значению:

- T_диаг - среднее время системной диагностики целостности моделируемой системы;

- T_восст - среднее время восстановления нарушенной целостности моделируемой системы.

При этом для расчетов применяется одна и те же модель В.2.3.

В итоге с использованием моделей и методов В.2.2 - В.2.4 осуществляется расчет вероятности нарушения надежности реализации процесса , более общий по сравнению с расчетом , производимым по формуле (В.2), за счет возможности учета различий в параметрах T_диаг и T_восст.

Примечание - Способ итеративного применения процессов рекомендован ГОСТ Р 57102, адаптированный вариант этого способа приведен в ГОСТ Р 58494.